PSTI 认证／合规制度介绍

一、简介

        UK PSTI（全称 “Product Security and Telecommunications Infrastructure”）是英国为联网设备和可连接产品设立的国家级安全合规制度，旨在提升智能设备（尤其是消费者可连接设备）在设计、生产与销售过程中的网络安全水平。 
该制度包括两个关键法规部分：

• 《Product Security and Telecommunications Infrastructure (Part 1) Act 2022》 

• 《Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023》
  自 2024 年 4 月 29 日 起正式生效。 

二、适用对象与范围

• 适用产品：被定义为 “relevant connectable products”，即可连接网络或互联网的消费设备，或者通过网络连接到其他设备的产品。 
  例如：智能家居设备、联网摄像头、智能冰箱、可穿戴设备、路由器等。 

• 不适用或暂除范围：某些产品如电动车充电桩、医疗设备（有特殊法规覆盖）、智能电表、普通笔记本或平板（WiFi only）等在部分条件下被排除。 

• 适用主体：制造商、进口商、分销商或零售商等在英国市场供应 “relevant connectable products” 的相关经济主体。 

三、主要合规要求

根据法规，适用的产品必须满足若干最低安全要求，包括但不限于：

• 禁用易猜测的默认密码／设备初始密码必须唯一或用户可设置。

• 产品必须具备漏洞披露政策（vulnerability disclosure policy），即提供渠道让用户和第三方报告安全漏洞。 

• 制造商须在产品中或随附文件中向消费者说明产品将获得安全更新（软件/固件）的最短支持期或服务期限。

• 制造商应出具 “Statement of Compliance” 文件，说明其产品符合 UK PSTI 的要求。

四、合规流程要点

1. 确认产品是否属于 “relevant connectable products” 范畴。

2. 根据产品特性及适用法规，实施必要的网络安全设计、测试与验证。

3. 编制完整的 “Statement of Compliance” 文档，保存相关技术资料。 

4. 向市场投放英国时，确保产品及其销售链条（进口商、分销商、零售商）符合相应责任和义务。

5. 自 2024 年 4 月 29 日起，所有已进入英国市场或将进入的符合范围产品都必须合规，否则有可能被禁止销售或召回。 

五、处罚与监管

        不合规的产品或供应链可受到英国监管机构 Office for Product Safety and Standards (OPSS) 的处罚。处罚可能包括：最高罚款 £10 million 或全球营业额的 4%（取高者）。此外，还可能被要求从市场撤回产品、停止销售或公开违规信息。

六、与其他认证／法规的关系

• UK PSTI 与 Radio Equipment Directive 2014/53/EU (RED)／CE 标志等无线或电气安全法规并行：RED 主要关注无线电设备的无线性能、安全、兼容性，而 PSTI 重点关注联网产品的 网络安全与数据保护。 cclab.com+1

• 虽然是英国法规，但其安全要求亦参考国际标准 ETSI EN 303 645（消费者 IoT 网络安全基线标准） 等。 政府官网+1

七、总结基本信息

• 是否强制：是，适用于进入英国市场的联网消费设备。

• 管制产品：可连接网络或互联网的消费电子设备（IoT／智能家居／联网设备）

• 工厂检查：法规为自我声明模式，不强制第三方工厂检查，但建议进行安全评估与测试。

• 证书／声明有效期：法规为持续合规义务模式，无固定 “证书有效期” 梳理。

• 当地测试：法规并未强制指定英国测试机构，但建议使用英国或国际认可的实验室进行安全测试。

• 重要日期：2024 年 4 月 29 日制度全面生效。